A Kaspersky Lab kutatói egy olyan államilag szponzorált víruscsaládot fedeztek fel, ami állításuk szerint minden ilyen jellegű korábbi kártevőnél fejlettebb és már 2012 óta van használatban. A Slingshot névre keresztelt kód windowsos számítógépeken kémkedik, és MikroTik routerek sebezhetőségét használja ki – bár azt még nem tudták megfejteni a szakértők, hogyan kerül az áldozat számítógépére.
A másik, GollumAppnak nevezett kártevő inkább a felhasználói szinten ténykedik, a menedzselésben és a vírus működésében segít. A biztonsági cég ezt a két elemet egyenesen „mesterműnek” nevezi. A Slingshot egy titkosított virtuális fájlrendszerben tárolja a malware fájljait, és minden szöveges karaktert titkosítva rögzít saját moduljaiban, közvetlenül fér hozzá a szolgáltatásokhoz, a hagyományos módszerekkel nagyon nehéz felismerni és azonosítani. Ez idáig nem is sikerült felfedezni, pedig már 2012 óta aktív, ami azt jelenti, hogy hat éve fertőz észrevétlenül.
A malware lényegében bármit el tud lopni: billentyűleütéseket, hálózati forgalomra vonatkozó információkat, jelszavakat rögzít, és képernyőmentéseket is készít. A kód kiemelkedő fejlettsége miatt a Kaspersky Lab szerint csakis egy állami ügynökség készíthette, angol nyelvű készítőkre gyanakodnak.
Eddig közel 100 áldozatról tudnak, akik ellen bevetették a kémszoftvert, köztük egyéneket, intézményeket, kormányzati szerveket Afganisztánban, Irakban, Jordániában, Kenyában, Törökországban, Líbiában.
A kutatók annak lehetőségét sem zárják ki, hogy az öt szem (Ausztrália, Kanada, Új-Zéland, Egyesült Királyság, Egyesült Államok) valamelyike figyeli meg áldozatait terrormegelőzési céllal, de ez csak feltételezés.
A Slingshot által kihasznált sebezhetőséget egy következő firmware frissítéssel orvosolja majd a MikroTik. Ha további routergyártók is érintettek, akkor kiterjedtebb fenyegetettségről van szó, ezt még vizsgálják.